Discussione "Inserire un virus in un'immagine: posso?" - E' davvero possibile?

Ordina per data Ordina commenti per reazioni

@wtfghxst


stego dalla stenografia ( una tecnica che consiste nel nascondere dati all'interno di foto o video) , in parole povere il malware contenuto nelle immagini altro non è che codice javascript malevolo eseguito dal browser , che interessa file bmp,jpg,png e gif

qui trovi la presentazione dell'indiano che nel 2015 con una presentazione a coniato il termine:



Vedi: https://www.slideshare.net/saumilshah/stegosploit-hacking-with-pictures

qui altri link utili:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmcCAC&lang=en_US


https://hackaday.com/2015/11/06/stegosploit-owned-by-a-jpg/

 
  • Mi piace
  • Grazie
Reazioni: 0xbro e hackynonpointer
N

Netcat

Utente Jade
17 Gennaio 2022
455
129
332
691
Ultima modifica:
Il sogno di tutti gli script kiddies di questo mondo è inserire un virus in un'immagine. Detto in modo così banale e semplice, che sembra quasi una sciocchezza.
In effetti lo sembra - finché non si scopre come stanno le cose.

Prima di tutto di che virus parlano questi tizi su google, che pongono questa domanda ovunque, specialmente su reddit? Non si sa, perché ogni virus ha delle proprietà che gli attribuisce una nomenclatura unica: è un trojan? Un ransomware? Un crypto miner? Vabbè non mi dilungo, passiamo al sodo.

"Inserire un virus", o per meglio dire, sfruttare una vulnerabilità creando una situazione tale per cui è possibile eseguire del codice arbitrario nel contesto di un image viewer, è possibile. Sì... Pensavate che stessi per smentire gli script kiddies? Sì... E' possibile. Ma, può essere fatto solo se l'immagine che contiene il codice infetto, viene aperta in un image viewer vulnerabile. Oppure, facciamo un esempio più tecnico:

- Supponiamo che trovo un sito web che consente di fare l'upload di immagini, di qualsiasi formato. Supponiamo che il nostro sito sia hostato su un server scritto interamente in Java. Questo server, fra le funzioni, incorpora un parser delle immagini che vengono caricate dagli utenti. Se scopro che questo parser è vulnerabile, ed esegue codice arbitrario (in java) fornito nei metadata dell'immagine, si genera una situazione che porta all'esecuzione di questo codice fornito all'interno dell'immagine, da parte del server. Questo codice può essere quello che vi pare - un ransomware, beacon, meterpreter - tutto quello che vi pare.

Questa spiegazione è davvero molto generica, ma c'è qualcosa che ci tengo a precisare. Non è possibile infettare qualche idiota che frequenta le chat erotiche, inviandogli l'immagine di una signorina con un payload ben nascosto nei commenti dei metadata. Se fosse possibile saremmo hackerati tutti i giorni, continuamente. Rifletteteci. Gli interpreti delle immagini installati nei nostri dispositivi usano molta sicurezza, e forse, se sei davvero geniale, puoi trovare un exploit che li corrompe (non ci riesco nemmeno io, è troppo anche per me). Con questa storia non voglio far vedere che sono bravo, mi piace solo fare chiarezza sulle situazioni ambigue, come sta *azzata dei virus nelle immagini.
 
  • Mi piace
Reazioni: DevilDriver
Ultima modifica:
Un classico esempio che ho trovato un po' di tempo fa e che mi è capitato da poco nuovamente sottomano è un Buffer Overflow su "Easy RM to MP3 Converter 2.7.3.700", un vecchio convertitore di file RM in MP3. Non sono file immagine, ma la logica è la stessa: è possibile creare un file con del contenuto malevolo che una volta elaborato (dal visualizzatore di immagini piuttosto che in questo caso dal convertitore) sfrutta la falla ed esegue codice malevolo.

Questo è il PoC di cui parlo sopra, preso da ExploitDB (è presente anche il collegamento diretto al programma vulnerabile, se qualcuno volesse provarlo):
www.exploit-db.com

Easy RM to MP3 Converter 2.7.3.700 - Local Buffer Overflow

Easy RM to MP3 Converter 2.7.3.700 - Local Buffer Overflow.. local exploit for Windows platform
www.exploit-db.com www.exploit-db.com
 
  • Mi piace
Reazioni: emina
Esisteva un gruppo , a metà tra l'effettivo e la leggenda metropolitana , CICADA 3301 , che si avvaleva della tecnica "Stegosploit" che consisteva nel nascondere codice malevolo "dentro " i pixel dell'immagine , anche se in realtà sono diventati famosi per alcuni enigmi pubblicati con lo scopo di reclutare le più intelligenti personalità del nostro pianeta , dopo alcuni enigmi sono scomparsi nel nulla ; comunque argomento interessante questa tecnica
 
  • Mi piace
Reazioni: TheWorm91
MRPants ha detto:
Esisteva un gruppo , a metà tra l'effettivo e la leggenda metropolitana , CICADA 3301 , che si avvaleva della tecnica "Stegosploit" che consisteva nel nascondere codice malevolo "dentro " i pixel dell'immagine , anche se in realtà sono diventati famosi per alcuni enigmi pubblicati con lo scopo di reclutare le più intelligenti personalità del nostro pianeta , dopo alcuni enigmi sono scomparsi nel nulla ; comunque argomento interessante questa tecnica
Clicca per espandere...
li conosco, se non sbaglio il terzo enigma non è stato ancora scoperto, mi pare che fosse qualcosa riguardante a Tor e la crittografia, per il resto la tecnica stegosploit mi è nuova
 
  • Mi piace
Reazioni: MRPants
wesker1998 ha detto:
- Supponiamo che trovo un sito web che consente di fare l'upload di immagini, di qualsiasi formato. Supponiamo che il nostro sito sia hostato su un server scritto interamente in Java. Questo server, fra le funzioni, incorpora un parser delle immagini che vengono caricate dagli utenti. Se scopro che questo parser è vulnerabile, ed esegue codice arbitrario (in java) fornito nei metadata dell'immagine, si genera una situazione che porta all'esecuzione di questo codice fornito all'interno dell'immagine, da parte del server. Questo codice può essere quello che vi pare - un ransomware, beacon, meterpreter - tutto quello che vi pare.
Clicca per espandere...
Praticamente sarebbe un attacco XSS tramite un image upload?
 
Può essere tutto... quando un'app non fa validation dei contenuti inseriti nell'input dei form risulta nell'esecuzione "cieca" di qualsiasi cosa scritta in quel form, XSS, buffer overflow
Messaggio unito automaticamente:

E' per questo che gli exploit 0 day hanno costi elevatissimi, non puoi essere hackerato se non sei vulnerabile. La gente spesso da molte cose per scontate, effettivamente ci sono degli uber-hacker veterani che risultano talmente bravi, che quello che fanno sembra magia nera, ma dietro quello che fanno non ci sono solo Skill, ma soprattutto Vulnerabilità. Non sei vulnerabile? Error: target is not exploitable.
 
Esistevano i programmi che switchavano l'exe in .jpg eseguibile, ma anche una modifica manuale dei formati dipende dai casi funziona ugualmente, niente di geniale.. magari l'etica ma il succo è semplice... bisogna stare attenti ma sono casi più unici che rari... difficilmente oggi nel 2022 ti inciampi in problemi simili.

E ovviamente devi sempre aprire il file .jpg , non basta una semplice visualizzazione nel browser, sarebbe troppo facile..
 
wesker1998 ha detto:
Pensavate che stessi per smentire gli script kiddies?
Clicca per espandere...
No, perchè in passato ci sono state più vulnerabilità sulla dll di windows per visualizzare le jpeg. Solo chi non segue il mondo dell'hacking può pensare una cosa del genere. Anche i pdf sono stati più volte vulnerabili. È possibile inserire codice javascript che potrebbe scaricare un exe ed eseguirlo.
 
Un exploit del genere ti costerebbe un rene e mezzo, sicuramente esiste ma di certo non è in mano ai comuni mortali come noi.
Che io sappia l'unico "exploit" a costo zero, limitatissimi allo scambio file, che ti permetta di camuffare le estensioni sotto windows è Unitrix.
Nel 2016 ancora funzionava e ci avevo pure fatto un video, conoscendo microsoft funziona ancora anche nel 2022.
 
wesker1998 ha detto:
Il sogno di tutti gli script kiddies di questo mondo è inserire un virus in un'immagine. Detto in modo così banale e semplice, che sembra quasi una sciocchezza.
In effetti lo sembra - finché non si scopre come stanno le cose.

Prima di tutto di che virus parlano questi tizi su google, che pongono questa domanda ovunque, specialmente su reddit? Non si sa, perché ogni virus ha delle proprietà che gli attribuisce una nomenclatura unica: è un trojan? Un ransomware? Un crypto miner? Vabbè non mi dilungo, passiamo al sodo.

"Inserire un virus", o per meglio dire, sfruttare una vulnerabilità creando una situazione tale per cui è possibile eseguire del codice arbitrario nel contesto di un image viewer, è possibile. Sì... Pensavate che stessi per smentire gli script kiddies? Sì... E' possibile. Ma, può essere fatto solo se l'immagine che contiene il codice infetto, viene aperta in un image viewer vulnerabile. Oppure, facciamo un esempio più tecnico:

- Supponiamo che trovo un sito web che consente di fare l'upload di immagini, di qualsiasi formato. Supponiamo che il nostro sito sia hostato su un server scritto interamente in Java. Questo server, fra le funzioni, incorpora un parser delle immagini che vengono caricate dagli utenti. Se scopro che questo parser è vulnerabile, ed esegue codice arbitrario (in java) fornito nei metadata dell'immagine, si genera una situazione che porta all'esecuzione di questo codice fornito all'interno dell'immagine, da parte del server. Questo codice può essere quello che vi pare - un ransomware, beacon, meterpreter - tutto quello che vi pare.

Questa spiegazione è davvero molto generica, ma c'è qualcosa che ci tengo a precisare. Non è possibile infettare qualche idiota che frequenta le chat erotiche, inviandogli l'immagine di una signorina con un payload ben nascosto nei commenti dei metadata. Se fosse possibile saremmo hackerati tutti i giorni, continuamente. Rifletteteci. Gli interpreti delle immagini installati nei nostri dispositivi usano molta sicurezza, e forse, se sei davvero geniale, puoi trovare un exploit che li corrompe (non ci riesco nemmeno io, è troppo anche per me). Con questa storia non voglio far vedere che sono bravo, mi piace solo fare chiarezza sulle situazioni ambigue, come sta *azzata dei virus nelle immagini.
Clicca per espandere...
Tutorial su come distruggere gli script kiddie haha.
 

DISCUSSIONI SIMILI

N
Discussione Come ho capitalizzato il mio fallimento al bug bounty di Instagram
  • Chiuso
  • 0
  • 293
0
293
Sicurezza Informatica
Netcat
N
Discussione Kinsing malware - Stato della ricerca, stato della caccia all'uomo (è in Svezia?) e guida alla rimozione (CVE-2023-32315)
  • Chiuso
  • 0
  • 373
0
373
Sicurezza Informatica
Netcat
N
Discussione Gli EXITFUNC, cosa sono, cosa fanno, come vanno usati in Metasploit
  • 0
  • 372
0
372
Pentesting e Ethical Hacking
Netcat
0
Guida Android Application Penetration Testing - Reversing & Static Analysis
  • 3
  • 2K
3
2K
Pentesting e Ethical Hacking Guide e Tools
0xbro
N
Discussione Gli errori più comuni che facilitano la strada agli hacker (Unix/Windows)
  • Chiuso
  • 3
  • 399
3
399
Sicurezza Informatica
Netcat
Top Bottom
Indietro